JP4491652B2 - 異なるドメイン間でのサービス進行を制御する装置及び方法 - Google Patents

異なるドメイン間でのサービス進行を制御する装置及び方法 Download PDF

Info

Publication number
JP4491652B2
JP4491652B2 JP2005509894A JP2005509894A JP4491652B2 JP 4491652 B2 JP4491652 B2 JP 4491652B2 JP 2005509894 A JP2005509894 A JP 2005509894A JP 2005509894 A JP2005509894 A JP 2005509894A JP 4491652 B2 JP4491652 B2 JP 4491652B2
Authority
JP
Japan
Prior art keywords
service
application gateway
user
gateway module
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005509894A
Other languages
English (en)
Other versions
JP2007529038A (ja
Inventor
スサナ フェルナンデス−アロンソ,
ゴンザレス, ヴィクトル マヌエル アビラ
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2007529038A publication Critical patent/JP2007529038A/ja
Application granted granted Critical
Publication of JP4491652B2 publication Critical patent/JP4491652B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Road Repair (AREA)
  • Harvester Elements (AREA)
  • Multi Processors (AREA)

Description

本発明の分野
本発明は、一般的には、第1ドメインが、第2ドメインのサービスプロバイダによって提供されるサービスへアクセスするユーザの認可に関与する場合に、そのサービスの進行を制御することに関するものである。より詳しくは、本発明は、サービスネットワークが、サービスプロバイダによって提供されるサービスへアクセスするユーザを認可する場合に、そのサービスの進行の制御に関するものである。このサービスプロバイダは、オペレータのリソースを介するサービスの使用に対し、ユーザから課金する。
背景
一般的なネットワークオペレータと、特に、移動体オペレータとは、現在、自身のユーザへ広範囲にサービスを提供している。また、かなり頻繁に、これらのサービスは、実際には、外部サービスプロバイダ(SP)によって提供される。つまり、ネットワークオペレータは、自身のユーザに対して仮想サービスプロバイダとして動作し、かつそのサービスの使用に対してユーザに適切な課金を行う。これに対し、実際には、外部サービスプロバイダがそのサービスを提供し、自身のサービスの提供に対する、オペレータへの課金アカウント(掛け売り勘定:charging account)を生成する。自身のユーザに対してサービスプロバイダとして動作するこのようなネットワークオペレータは、以下では、サービスネットワークオペレータ(SNO)と呼ぶことにする。
このような状況において、SNOネットワークによって示される第1ドメインは、サービスをリクエストするユーザの認証と、リクエストされたサービスへアクセスユーザを認可することに関与する。第2ドメインによって実際に提供されるこのサービスは、ネットワークオペレータと商取引関係があり得る外部サービスプロバイダによって所有されているが、これらのドメインの両方は、別々の企業によって所有され得る。
上述の状況を支援する現在知られているイニシアチブには、自身の加入者へアクセス独立サービスを提供するネットワークオペレータを支援することが目的とされているエリクソンサービス配信プラットホーム(以下では、ESDPと称する)がある。一般的に言えば、ESDPは、工業的に呼ばれる「http reverse−proxy」を介して、サービスネットワークで利用可能なサービスへ加入者がアクセスすることを考慮している。周知の方法の下では、ユーザは、認証−認可−アカウンティング(AAA:Authentication-Authorisation-Accounting)サーバで認証される。これは、この認証処理で、マスタセッションが生成されるからである。このマスタセッションは、典型的には、アクセスのタイプ、ユーザ識別子、それを使用するための認証メカニズム、セッション確立時間等を含んでいる。アクティブなマスタセッションは、ユーザが認証されていることを保証する。しかしながら、マスタセッションは、ユーザによって使用されるサービスについての情報は持っていない。つまり、ユーザが自身のプロファイルでサービスへアクセスすることを使用するときは、マスタセッションは、サービスを認可する前にユーザが認証されているかを判定するためにチェックされる。
このESDPと、他の既知の工業上のプラットホームはともに、通常、シングルサインオン(Single Sign-On)機能と呼ばれるものをサポートし、これによって、信用のあるアクセスネットワークを介してSNOネットワークへアクセスするユーザがたった一回認証されて、サービスネットワークオペレータ(SNO)によって提供されるあらゆるサービスに対して認証が成立する。
例えば、信用のあるアクセスネットワークが汎用パケット無線サービス(GPRS)ネットワークのようなパケット無線ネットワークであり、かつユーザが、サービスネットワークオペレータ(SNO)ドメインとの接続を取得するために、ゲートウェイGPRSサポートノード(GGSN)へ割り当てられる場合に、例示の状況が発生する。
このような状況では、シングルサインオン(SSO)サービスに対するサポートは、いわゆる「MSISDN転送」メカニズムに基づいている。ここで、MSISDNは、伝統的には移動体加入者ISDN番号を介することを意味するものであり、より広い意味では、この番号は、加入者ディレクトリ番号として見なすことができる。要約すると、「MSISDN転送」メカニズムは、RADIUSアクセスリクエストメッセージを、ホームサービスネットワークドメイン内の「認証、認可及びアカウンティング」(AAA)サーバへ送信することによって、ホームコアネットワークドメイン内のゲートウェイGPRSサポートノード(GGSN)から開始される。ここで、このメッセージは、MSISDNとユーザに対するIPアドレスを含んでいる。この情報は、AAAサーバに、ユーザに対するマスタセッションを生成することを可能にし、そうすることで、ユーザがサービスへのアクセスをリクエストするときは、マスタセッションは、ユーザが既に適切に認証されているかを確認するためにチェックされる。より詳しくは、国際出願番号WO01/67716A1は、いくつかの状況下で適用することができるRADIUSアカウンティング開始メッセージに基づく「MSISDN転送」メカニズムを記載している。この国際出願は、シングルサインオンをサポートする、つまり、いくつかの特定の環境下でユーザを一回だけ認証するための構成を記載している。
しかしながら、サービス認可に関しては、SNOネットワーク下でユーザが一旦認証されると、ユーザは、任意に提供されるサービスを起動するための権限が透過的に許可される。つまり、一旦サービスが認可されると、サービスネットワークオペレータは、サービスを介する制御を解放する。つまり、サービスネットワークオペレータは、これ以上のサービスの進行を制御することができず、サービスの実行中に介在するパーティによって実行されるアクションには関与しておらず、また、この実行中での任意の動作を行うことができない。例えば、サービスの不正使用を回避するためにサービスセッションの切断を行うことができない。
図1に示される、ユーザに対するサービスを認可するための現在の既存のメカニズムは、ユーザがアクセスネットワークへサービスリクエストを発行すると開始する。ここで、このアクセスネットワークは、GPRSネットワークであっても良く、これは、このようなリクエストを受信する専用GPRSノードであるGGSNノードである。受信機は、このサービスリクエストをサービスネットワークのアプリケーションゲートウェイモジュール(AGM)へ送信する。このサービスネットワークは、一般的には、ユーザとサービス間のアプリケーションメッセージを捕捉し、かつそのユーザとそのサービスを識別することを担当する。特に、上述の「http reverse−proxy」であっても良い、このアプリケーションゲートウェイモジュール(AGM)は、従来より、ユーザがサービスへアクセスすることを許可されているかどうかについての認証決定を、いわゆる認証モジュール(AM)から取得する手段で提供される。特に、上述のAAAサーバであっても良い、この認証モジュール(AM)は、一般的には、いくつかの状態に依存するサービスへアクセスすることをユーザが認可されるかどうかを決定することを担当する。アプリケーションゲートウェイモジュールと認可モジュールのどちらのエンティティも、それぞれスタンドアローンの形式で提供することもでき、あるいは他のエンティティに統合することができ、特に、それらの両方を同一のエンティティに統合することができる。
それにもかかわらず、既存のメカニズムは、依然として、例えば、着信音(a ring melody)とその着信音のダウンロードのようなリクエストと回答に基づく今日の多くの既存のサービスに対しては有効であるが、より洗練されたトランザクション(取引)サービス、例えば、関連するサブサービス群の各シーケンスを含むサービスに対しては、既存の技術は、サービスの進行を完全に制御することについてはオペレータにとっては上述の深刻な制限が存在している。
トランザクションサービスに対する1つの簡単なソリューションは、事前の認証に関係なく、認可対象のユーザとサービス間のトランザクションを強制することによって達成されても良い。しかしながら、この可能なソリューションは、任意のトラフィックモデルについてかなり過負荷となり、それを解決することは余計な負担となり得る。
一方、サービスの異なるトランザクションが発生する場合をサービスネットワークオペレータ(SNO)が気付かないと、サービスネットワークオペレータは、パーティ、即ち、ユーザとサービスによって実行される異なるアクションを気付くことができず、また、このような異なるアクションに依存する専用のポリシーを適用することができない。また、サービスネットワークオペレータ(SNO)は、ユーザがそれを実行することが一旦認可されると、そのサービスを使用することからリアルタイムでユーザを切断することすらできない。
従って、本発明の重要な目的は、ユーザが、第2ドメインによって提供されているサービスを使用しながら、サービスが認可されている第1ドメインでサービスの進行を制御する装置及び方法を提供することである。
本発明の更なる目的は、このような制御が、サービスの使用を検証するための検証メカニズムを更に含んでいる、適切なソリューションを達成することである。
本発明の要約
本発明の目的、及び他の目的は、本発明に従う、サービスの進行を制御する方法及び装置の提供によって達成される。このサービスは、ユーザが第2ドメインによって提供されるそのサービスを使用しながら、そのサービスが認可されている第1ドメインで、複数のトランザクションを必要とする。また、このサービスは、サービスネットワークオペレータとサービスプロバイダ間のサービスの使用を検証するための検証メカニズムを必要とする。
本発明の第1の構成に従えば、電気通信システムの使用に適しているアプリケーションゲートウェイモジュールが提供される。この電気通信システムでは、サービスネットワークがユーザを認証し、かつサービスプロバイダによって提供されるサービスへアクセスするユーザを認可する。また、アプリケーションゲートウェイモジュールは、ユーザとサービス間のアプリケーションメッセージを捕捉し、かつユーザとサービスを識別するように構成されている。このアプリケーションゲートウェイモジュールは、典型的には、ユーザがサービスへアクセスすることが許可されているかについての認可決定を取得する手段を含む。本発明に従えば、アプリケーションゲートウェイモジュールは、
前記ユーザと前記サービス間で交換される前記アプリケーションメッセージを識別するように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子を割り当てる手段と、
サービス進行を制御することができるサービス配信における特定イベントを識別するように意図されている、いくつかの状態を有する第1有効状態マシーンを構成する手段と、
前記特定イベントに適用可能なサービスポリシーを起動し、かつ状態遷移を発生する手段と
を備える。
このアプリケーションゲートウェイモジュールでは、前記サービスセッション識別子を割り当てる手段は、前記第1有効状態マシーンの特定インスタンスを開始する手段を含み、前記特定インスタンスは、前記割り当てられたサービスセッション識別子によって識別される。
効果的なことは、このアプリケーションゲートウェイモジュール内の前記サービスポリシーを起動する手段は、リファレンス及び属性の包括的でないリストから選択される少なくとも1つの要素を設定する手段を含み、この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングで実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかのトランザクションを含んでいる。また、前記サービスポリシーを起動する手段は、進行中に、任意のサービス配信とは独立しているグローバルサービスポリシーを起動する手段を含んでいる。また、前記サービスポリシーを起動する手段は、前記第1有効状態マシーンの特定インスタンス内の個別のサービスポリシーとして適用するためのグローバルサービスポリシーのインスタンスを開始する手段を含み、前記個別のサービスポリシーは、前記グローバルサービスポリシーからのリファレンスと属性を引き継いでいる。サービスポリシーの動的更新を可能にするために、アプリケーションゲートウェイモジュールは、前記第1有効状態マシーンの特定インスタンス内で処理されるサービス進行中に、個別のサービスポリシーのリファレンス及び属性を、新規のリファレンス及び属性で上書きする手段を更に備える。
このアプリケーションゲートウェイモジュールでは、特定の状態が、与えられるサービスセッション識別子によって識別される、前記第1有効状態マシーンの特定インスタンス内のいくつかの個別のサービスポリシーに関連付けられている。
また、明瞭にするために、アプリケーションゲートウェイモジュール内の前記認可決定を取得する手段は、別のモジュール、即ち、認可モジュールからサービス認可をリクエストする手段を含んでいても良い。この認可モジュールは、固有のエンティティ内にアプリケーションゲートウェイモジュールとともに統合されていても良いし、両者とも、スタンドアローンモジュールとして提供されていても良い。
両者が別モジュールとして共存して提供されると、アプリケーションゲートウェイモジュール内の前記サービスポリシーを起動する手段は、サービスポリシーを設定するために適用可能な少なくとも1つの要素を前記認可モジュールから受信する手段を含むことが好ましい。前記要素は、リファレンスと属性の包括的でないリストから選択されるものであり、この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングで実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかのトランザクションを含んでいる。また、前記サービスポリシーを起動する手段は、前記認可モジュールからグローバルサービスポリシーを受信する手段を含んでいる。この構成では、認可モジュールとは別のアプリケーションゲートウェイモジュールは、前記第1有効状態マシーンの特定インスタンス内で処理されるサービス進行中に、個別のサービスポリシーを新規のリファレンスと属性で上書きするように適用可能なリファレンスと属性を、前記認可モジュールから受信する手段を更に備える。その結果、アプリケーションゲートウェイモジュールは、サービス進行中の特定イベントを、前記認可モジュールへ通知する手段と、前記サービス進行を継続するための適切なアクションを判定するための追加処理を、前記認可モジュールからリクエストする手段を更に備える。上述の特徴に従えば、アプリケーションゲートウェイモジュールは、前記認可モジュールから指示を受信する手段を更に備えることが好ましい。前記指示は、制限なく許可されたアクセス、リクエストされた従前のサービスを置換するための別のサービス、強制ログアウト及び状態遷移の指示から選択される。
このように、既に説明されている本発明の第2の構成に従えば、電気通信システムの使用に適している認可モジュールが提供される。この電気通信システムでは、サービスネットワークがユーザを認証し、かつサービスプロバイダによって提供されるサービスへアクセスするユーザを認可する。前記認可モジュールは、前記ユーザがサービスにアクセスすることが許可されているかを決定するように構成され、また、典型的には、アプリケーションゲートウェイモジュールから、サービス認可リクエストを受信する手段と、前記ユーザが前記リクエストされたサービスへアクセスすることが許可されているか否かに応じて、前記アプリケーションゲートウェイモジュールへ応答を返信する手段とを有する。この認可モジュールは、本発明に従えば、
前記ユーザと前記サービス間で交換されるアプリケーションメッセージを相関させるように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子を生成する手段と、
前記認可モジュールが、サービス進行を制御することを前記アプリケーションゲートウェイを代行することができるサービス進行内の特定イベントを識別するように意図されているいくつかの状態を有する第2有効状態マシーンを構成する手段と、
前記特定イベントに適用可能なサービスポリシーを判定し、かつ状態遷移を発生する手段と
を備える。
この認可モジュールでは、前記サービスセッション識別子を生成する手段は、前記ユーザが前記リクエストされたサービスへのアクセスが許可されているかに応じて、前記アプリケーションゲートウェイモジュールへの返信対象の前記応答に、前記サービスセッション識別子を含める手段を備える。アプリケーションゲートウェイモジュール内の上述の特徴に従えば、前記サービスセッション識別子を生成する手段は、前記サービスセッション識別子によって識別される、前記第2有効状態マシーンの特定インスタンスを開始する手段を含んでいることが好ましい。つまり、特定の状態が、与えられるサービスセッション識別子によって識別される、前記第2有効状態マシーンの特定インスタンス内のいくつかの個別のサービスポリシーに関連付けられていても良い。
また、この認可モジュール内の前記サービスポリシーを判定する手段は、前記アプリケーションゲートウェイモジュール内の特定状態でサービスポリシーを起動するための少なくとも1つの情報要素を、前記アプリケーションゲートウェイモジュールに向けての前記応答へ含める手段を備える。前記少なくとも1つの情報要素は、リファレンスと属性の包括的でないリストから選択されるものであり、この要素は、
−マッチングするためのいくつかのメッセージフィールド値と、
−与えられるメッセージフィールド値とのマッチングで実行するためのアクションのセットと、
実行用のいくつかの新規のタイマ値及び
管理用のいくつかのトランザクションと
を有している。
アプリケーションゲートウェイモジュールに向けての認可モジュールからの応答に含められる上述の要素とは別に、その応答が、進行中の任意のサービス配信とは独立して適用するためのグローバルサービスポリシーであるかを指示するための追加の手段が提供される。
また、上記の両モジュールが少なくとも機能的に存在する場合の調和のために、認可モジュールは、アプリケーションゲートウェイモジュールから、サービス進行で検出される特定イベントを指示する通知を受信する手段を更に備える。また、認可モジュールは、アプリケーションゲートウェイモジュールから、サービス進行を継続するための指示を問い合わせるリクエストを受信する手段を更に備える。この構成では、認可モジュールは、前記アプリケーションゲートウェイモジュールへ向けて、指示を送信する手段を更に備えることが有益である。前記指示は、制限なく許可されたアクセス、リクエストされた従前のサービスを置換するための別のサービス、強制ログアウト及び状態遷移の指示から選択される。
加えて、認可モジュールは、いくつかのアプリケーションサーバ及び提供システムから選択される少なくとも1つのエンティティから、アプリケーションメッセージを受信する手段を更に備えることが有益である。前記アプリケーションメッセージは、前記認可モジュール内の前記第2有効状態マシーンの特定インスタンスを識別するように意図されている、与えられるサービスセッション識別子を含んでいる。
また、本発明によって、サービスネットワークのユーザに、サービスプロバイダのサービスサーバによって提供されるサービスにアクセスすることを認可する方法が提案される。前記ユーザは、前記サービスネットワークによって既に認証されていて、前記サーバは、前記ユーザとの複数のアプリケーションメッセージの交換による複数のトランザクションを有するサービスを配信するように構成されている。この方法は、典型的には、前記ユーザが前記サービスにアクセスすることが許可されているかについての第1認可決定を取得するステップを備える。この方法は、また、本発明に従えば、
前記ユーザと前記サービス間で交換される前記アプリケーションメッセージを識別するように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子を生成し、割り当てるステップと、
サービス進行を制御することができるサービス配信における特定イベントを識別するように意図されている、いくつかの状態を有する少なくとも1つの有効状態マシーンを構成するステップと、
前記特定イベントに適用可能なサービスポリシーを起動し、かつ状態遷移を発生するステップと
を備える。
本方法の前記サービスセッション識別子を生成し、割り当てるステップは、前記割り当てられたサービスセッション識別子によって識別される、前記少なくとも1つの有効状態マシーンの特定インスタンスを開始するステップを含んでいる。また、前記少なくとも1つの有効状態マシーンの前記特定インスタンス内の特定状態は、いくつかのサービスポリシーに関連付けられている。
また、本方法の前記サービスポリシーを起動するステップは、リファレンス及び属性の包括的でないリストから選択される少なくとも1つの要素を設定するステップを含んでいても良い。この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングで実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかのトランザクションを含んでいる。
更に、また、本方法は、サービスプロバイダのいくつかのサービスサーバと提供システムのいくつかのエンティティから選択されるエンティティで生成されるアプリケーションメッセージを、前記サービスネットワークで受信するステップを更に備えることが有益である。前記アプリケーションメッセージは、前記少なくとも1つの有効状態マシーンの特定インスタンスを識別するように意図されている、与えられるサービスセッション識別子を含んでいる。
一方、上述の2つのモジュールと調和するために、上記方法の前記少なくとも1つの有効状態マシーンを構成するステップは、上述のアプリケーションゲートウェイモジュール内の第1有効状態マシーンを構成するステップと、上述の認可モジュールの第2有効状態マシーンを構成するステップとを備える。
実施形態の詳細説明
以下では、外部サービスプロバイダ(30)によって提供され、かつサービスネットワークオペレータのユーザによって使用されるサービスに対して、複数のトランザクションを介在するようなサービス配信それぞれについての進行を制御することを、サービスネットワークオペレータ(20)に可能にする装置及び方法の実施形態を説明する。
それゆえ、本発明の第1の構成に従えば、図3Aに示されるような、有効状態マシーンを有するアプリケーションゲートウェイモジュール(AGM)(2)が提供される。これは、同一のサービス配信に属するメッセージを追跡し、かつサービスの進行を監視する。つまり、これは、ユーザがサービスへアクセスすることを認可されてから、サービスを終了するまで、あるいはユーザが明示的にサービスを中止するまで、あるいはタイムアウトが満了するまでの時間に、クライアント(1、9)とサービスサーバ(5、6)間で交換されるメッセージである。説明を簡単にするために、用語クライアント(1、9)と用語ユーザ(1、9)は、本明細書を通しては区別しないで使用し、これらの両方がユーザ端末側を参照するものとする。これは、どんなときでも、機器(1、9)は、アクセスネットワーク(10)を介して、サービスネットワーク(20)と通信するために使用される。
本発明の第2の構成に従えば、図3Bに示されるような、別の有効状態マシーンで拡張もされる認可モジュール(AM)(30)が提供され、これは、サービス配信の進行を制御する。
現在の実施形態では、AGM(2)とAM(3)のエンティティの両方が、スタンドアローン形式で提供されているが、固有の有効状態マシーンを共有する固有のエンティティにそれぞれ統合されても良い。図2に示されるような、AGMとAMのエンティティを別にする実施形態が提供されると、新規のインタフェース(I−3x)が2つの有効状態マシーン間で提供される。この新規のインタフェースは、アプリケーションゲートウェイモジュール(2)に、サービス認可を認可モジュール(3)にリクエストすることを可能にし、かつサービスの進行中に発生するこれらに関連するイベントを通知する。一方、このインタフェースは、認可モジュール(3)に、サービス認可の許可及び取消を行い、かつサービス配信の進行の制御を行うことを可能にする。
アプリケーションゲートウェイモジュール(2)内の有効状態マシーン、本明細書では、いわゆる、サービスコンテキスト状態マシーン(SCSM)は、ユーザに対する特定のサービス配信が、サービス進行中にアプリケーションゲートウェイモジュール(2)で割り当てられても良いといういくつかの状態を含んでいる。つまり、ユーザ(1、9)とサービスサーバ(5、6)間で交換される、あらゆるアプリケーションメッセージ(I−2X、I−4X)は、ユーザとサービスサーバ間に介在するアプリケーションゲートウェイモジュール(2)でサービスコンテキスト状態マシーン(SCSM)のインスタンスをトラバースする(traverse)。ここでは、各サービス配信に対して、1つのSCSMインスタンスが存在する。上述のように、サービス配信は、いくつかのトランザクション、即ち、サービストランザクションを介在していても良い。
認可モジュール(3)の有効状態マシーン、本明細書では、いわゆる、サービス進行状態マシーン(SPSM)は、ユーザに対する特定のサービス配信がサービス進行中に認可モジュール(3)で割り当てられても良いといういくつかの状態を含んでいる。加えて、このサービス進行状態マシーン(SPSM)は、サービスネットワーク(20)に、サービス配信の進行を気付かせるために使用される。また、認可モジュール(3)内のこのサービス進行状態マシーン(SPSM)は、サービス進行中にあるイベントの通知をリクエストすることによって、あるいはサービスからユーザを切断することによって、サービスネットワークにサービスの配信を発生させるために使用されても良い。アプリケーションゲートウェイモジュール(2)における上述のSCSMに対しては、各サービス配信に対する認可モジュール(3)内のSPSMのインスタンスが存在し、このサービス配信は、いくつかのサービストランザクションが介在する。
本発明に従えば、アプリケーションゲートウェイモジュール(2)のSCSMに、同一のサービス配信に属するアプリケーションメッセージを追跡することを可能にするために、ユーザ(1、9)とサービスサーバ(5、6)間で交換される、あらゆるアプリケーションメッセージは、サービスリクエスト単位で生成される個別のサービスセッション識別子を含んでいて、また、ユーザがサービスを明示的に中止するまで、サービスが終了するまで、あるいはタイムアウトが満了するまでのサービス進行中には存在している。つまり、このサービスセッション識別子(Service_Context_ID)は、同一サービス配信に属するメッセージを固有の方法で識別するために使用される。結局のところ、サービスリクエスト単位でサービスセッション識別子を生成するための手段が存在し、この手段は、認可モジュール(3)に配置されることが好ましいこと意味し、また、個別のサービスセッション識別子を特定のサービス配信に割り当てる手段が存在する。これは、任意のサービスセッション識別子(Service_Context_ID)を含まないユーザからのサービスリクエストをアプリケーションゲートウェイモジュールで受信するからである。
図3Aの遷移図は、アプリケーションゲートウェイモジュール(AGM)で、サービス進行中に割り当てられる基本状態を示している。アクティブなサービスセッション識別子(Service_Context_ID)がない状態で、AGM(2)でユーザ(1、9)からのメッセージを捕捉すると、認可リクエストが認可モジュール(3)へ送信され、一方で、初期の「NULL」状態と「サービス認可」状態との間での遷移が発生する。ユーザに対して一旦サービスが認可されると、サービスセッション識別子(Service_Context_ID)が認可モジュール(3)で生成され、アプリケーションゲートウェイモジュール(2)へ返信される。一方、状態「サービス認可」と状態「アクティブサービス」との間で遷移が発生する。この段階で、ユーザ(1、9)からサービスサーバ(5、6)へ向けてのアプリケーションメッセージは、このアクティブなサービスセッション識別子(Service_Context_ID)を含んでいる。アプリケーションゲートウェイモジュール(2)によって捕捉される場合には、図3Aに示される遷移は生成しない。しかしながら、当業者には、特定あるいは有効な実装下では有益となる他の重要な状態を区別することができるであろう。つまり、図3Aに示されるサービスコンテキスト状態マシーン(SCSM)のインスタンスは、サービスログアウト、タイムアウト満了、あるいは切断リクエストが発生するまで「アクティブサービス」状態を維持している。この切断リクエストは、サービスセッション識別子(Service_Context_ID)と対応するリファレンス及び属性が確実に削除されるまでに、「切断サービス」状態への遷移を引き起こすものを発生する。個別のサービスセッション識別子(Service_Context_ID)と対応するリファレンス及び属性が一旦確実に削除さえると、最終遷移が「切断サービス」状態と「NULL」状態との間のサービスコンテキスト状態マシーン(SCSM)のこのインスタンスで実行される。ここで、後者の「NULL」状態は、サービスがリクエストされる場合の初期状態と見なされるものであり、また、最終状態は、サービスが終了している場合である。
同様の方法で、上述のサービスコンテキスト状態マシーン(SCSM)は、アプリケーションゲートウェイモジュール(2)で動作し、サービス進行状態マシーン(SPSM)は、認可モジュール(3)で動作する。図3Bで示される、サービス進行状態マシーン(SPSM)は、図3Aの上述のサービスコンテキスト状態マシーン(SCSM)と実質的に同一の状態と対応する遷移を含んでいて、更に説明される、更なる効果を実現するために必要な多少の変形を伴っている。
アプリケーションゲートウェイモジュール(2)内のサービスコンテキスト状態マシーン(SCSM)は、サービス進行の地点を識別する手段を含んでいて、この地点は、アプリケーションゲートウェイモジュール(2)と認可モジュール(3)が、サービスコンテキスト状態マシーン(SCSM)とサービス進行状態マシーン(SPSM)との間での適切かつ対応する状態遷移を各自実行するために互いに通信する地点である。
また、この手段は、受信するアプリケーションメッセージに渡って適用されるこれらの地点におけるポリシーを設定するために提供される。このポリシーは、以下では、サービスフィルタ(SF)と呼ぶが、マッチングするための基準の集合及び、ポリシーを適用する特定のアプリケーションメッセージに渡って実行するアクションのセットとして理解されても良い。特に、基準は、タイマ満期(「タイムアウト」)であっても良く、そのような基準を有するポリシーは、切断を強制することに関係するアクションを持っていても良い。
ユーザ(1、9)からのあるいはサービス(5、6)から受信するアプリケーションメッセージを基準によって評価する方法で、サービスフィルタ(SF−1、SF−2、SF−3、SF−4)を装備させる、即ち、始動させることができる。出力が成功する場合、その評価は、アプリケーションゲートウェイモジュール(2)と認可モジュール(3)との間で交換される通知あるいはリクエストの類となり、状態遷移を引き起こすことになる。サービスフィルタ(SF−1、SF−2、SF−3、SF−4)が装備されないあるいは設定されないと、受信するアプリケーションメッセージに対しては、サービスコンテキスト状態マシーン(SCSM)は、任意の対話を行うことなく、受信するアプリケーションメッセージの処理を続行する。
ここでは、異なるタイプのサービスフィルタのセットが識別される。本発明が提供する第1タイプのサービスフィルタは「トリガー」タイプであり、これによって、定義されているサービスフィルタが、動作に入るために静的に装備される。本発明が提供する第2タイプのサービスフィルタは「イベント」タイプであり、これによって、定義されているサービスフィルタが、動作に入るために動的に装備される。本発明の目的に対して、「静的に装備されること」は、アプリケーションゲートウェイモジュール(2)と認可モジュール(3)の適用可能なコンフィグレーション(構成)中に始動されるものとして理解される。これは、例えば、オペレーション(動作)データの提供中に発生しても良い。一方、「動的に装備されること」は、サービス進行中に始動されるものとして理解される。
加えて、サブタイプである、例えば、「リクエスト」と「通知」は、特定タイプに対して定義されても良い。前者は、サービスの進行の処理が適切な順序で受信されるまで保留されてそれが再開する場合に適用する。一方、後者は、サービス保留を必ずしも含むものではない。
上述の分類に従って、以下のサービスフィルタのセットは、本実施形態で生じても良い。
−「トリガー−リクエスト」(SF−TR)、これは静的に装備されるサービスフィルタであり、SCSMインスタンス内での状態遷移を引き起こし、かつ遭遇するサービス進行を保留するために関与する。これには、例えば、サービス認可自身を引き起こすためのサービスフィルタのセットがある。
−「トリガー−通知」(SF−TN)、これは静的に装備されるサービスフィルタであり、サービス進行を継続しながら、別のエンティティへ向けての通知を発行するために関与する。これには、例えば、認可モジュール(3)に提供されるタイムアウト指示がある。
−「イベント−リクエスト」(SF−ER)、これは、追加のオペレーション手段によって設定される特別の基準で動的に装備されるサービスフィルタであり、別のエンティティから更なる命令を受信するまでに遭遇するサービス信号を保留するために関与する。これには、例えば、プリペイドダウンロード用の新規のサブサービスリクエストに関して、認可モジュール(3)からの命令を待機するアプリケーションゲートウェイモジュール(2)がある。
−「イベント−通知」(SF−EN)、これは、追加のオペレーション手段によって設定される特別の基準で動的に装備されるサービスフィルタであり、サービス進行を継続しながら、別のエンティティへ向けての通知を発行するために関与する。これには、例えば、認可モジュール(3)に提供される更なる広告(advertisements)を受信することのユーザ承認の指示がある。
例えば、図4は、アプリケーションゲートウェイモジュール(2)内のサービスコンテキスト状態マシーン(SCSM)を介して装備される、いくつかのサービスフィルタを示している。この実施形態では、サービスフィルタ「認可−リクエスト」(SF−1)と「タイムアウト」(SF−32)は、サービスを起動するための第1メッセージの到来前に装備される。これらのサービスフィルタ(SF−1、SF−32)が第1メッセージの到来前に装備できるかは疑問に感じるかもしれないが、これは、その時点で、SCSMインスタンスがまだ生成されていないからである。しかしながら、本発明のこの実施形態は、上述のように静的に装備される、グローバルサービスフィルタの類に対して提供するものであり、これは、SCSMインスタンスを開始する前に動作している。特定のSCSMインスタンスを開始する時は、対応する個々のサービスフィルタは、そのグローバルサービスフィルタからのリファレンス及び属性を引き継ぐことによっても例証される。特に、更なる追加の動作手段が、SCSMインスタンス内のある状態下で、「タイムアウト」(SF−32)のような個々のサービスフィルタを上書きするために提供される。一方で、動的に配置されるようにむしろ構成される、「情報−解析」(SF−2)と「ログアウト−リクエスト」(SF−31)のような他のサービスフィルタは、サービスの進行中に引き続いて装備される。
他の技術的な特徴に関しては、サービスフィルタ「認可−リクエスト」(SF−1)と「情報−解析」(SF−2)は、SCSMインスタンスのために使用される個別のサービスセッション識別子(Service_Context_ID)によって識別される特定のサービス配信下で受信されるこれらのメッセージにおけるフィールドを評価するために使用されても良い。SCSMインスタンスを通過する場合、検査対象のフィールドの内容が適用可能なフィルタとマッチする場合、アプリケーションゲートウェイモジュール(2)は、認可モジュール(3)へ向けてメッセージを発行する。一方で、評価されるフィルタサブタイプに依存して、サービスの進行は中断なく継続する、あるいは、認可モジュール(3)からの対応する回答の到来までは中断される。
いくつかの用途の場合について、サービス認可に続く処理によって、例示的かつ限定的でない方法で更に説明する。これは、同一のサービス配信の連続メッセージの処理、サービスログアウト、タイムアウト満了及びサービス切断に対するものである。
図5と更に図2も参照して示される第1の用途の場合、アプリケーションゲートウェイモジュール(2)内の第1状態マシーン(SCSM)の新規のインスタンスと、認可モジュール(3)内の第2状態マシーン(SPCM)はそれぞれ、サービス認可中に開始される。ここで、サービスコンテキスト識別子(Service_Context_ID)が生成され、かつ更なる第1(SCSM)状態マシーンインスタンスと第2(SPSM)状態マシーンインスタンスとを相互に関連付けるために割り当てられる。ユーザ(9)が、オペレータのサービスネットワーク(20)を介して提供されるサービス(5)へのアクセスを試行する場合に処理が開始する。それゆえ、ユーザは、HTTPリクエスト−URIのようなサービス識別子とともに、ユーザ識別子を含むサービスリクエスト(S−510)を発行する。
この到来するメッセージ、即ち、サービスリクエストの受信においては、アプリケーションゲートウェイモジュール(2)は、このリクエストに対して、アクティブなサービスセッション識別子(Service_Context_ID)が存在するかどうかをチェックする。これは、このサービスへアクセスするためにユーザ(9)に対して受信される最初のサービスリクエストであるので、関係するサービスセッション識別子はなく、それにより、新規のSCSMインスタンスが開始される。
この時点で、また、本発明の実施形態に従えば、グローバルサービスフィルタは、必要とされる引き継ぎ関係を有する個々のサービスフィルタとして対応するように例証される。例えば、タイプ「トリガー」のサービスフィルタ「認可−リクエスト」(SF−1)は、認可モジュール(3)へ向けてのサービス認可リクエストを起動するために、状態「NULL」から出力されるものとして適用される。それでもなお、本発明の別の実施形態に従えば、これらのグローバルサービスフィルタは、これらの特定のSCSMインスタンス内での所定状態に遭遇するメッセージのすべてに対して更に適用される一般ポリシーとして、単に取り扱われ、かつ理解されても良い。例えば、特定のサービス配信が状態「NULL」に一旦なると、起動するための最初の動作は、認可モジュール(3)へ向けてのサービス認可リクエストの起動である。更なる別の実施形態では、サービスフィルタが提供手段によってダウンロードされ、静的に装備されるこれらのものが、提供時以降から既にアクティブとなり、また、動的に装備されるものが、個々の順序と、おそらくは個々の値の受信におけるサービス進行中に起動され、それの目的のためにマッチングすることを実行することができる。
サービスフィルタを提供し、かつ装備するための上述の実施形態群の中からの選択に関係なく、新規のSCSMインスタンス内で、「NULL」状態から「サービス認可」状態の遷移が生成される。これは、アプリケーションゲートウェイモジュール(2)が、認可モジュール(3)から、ユーザによってリクエストされるサービスの認可をリクエストする(S−511)場合である。ここで、アプリケーションゲートウェイモジュール(2)は、サービス認可リクエスト内に、次のものから選択される少なくとも1つの情報要素を含んでいても良い。これには、例えば、HTTPのような使用されるプロトコル、例えば、POSTのようなメッセージタイプ、例えば、リクエストされたURIのようなリクエストされたサービス、ユーザ識別子及び取り得る適用可能なサービスフィルタがある。
サービス認可リクエストの受信においては、認可モジュール(3)はユーザを識別し、認可モジュールがサービスへのアクセスを許可するかあるいは拒否するかに基づいて、対応するポリシーを、リクエストされたサービスに対するユーザに適用する。アクセスが認可されると、認可モジュールが、認可モジュール(3)とアプリケーションゲートウェイモジュール(2)との間でのサービス進行を制御するように構成されていると仮定し、認可モジュールは、サービス進行状態マシーン(SPSM)の新規のインスタンスを開始する。ここで、「NULL」状態から「サービス認可」状態への遷移が発生し、アプリケーションゲートウェイモジュール(2)へ向けて更にダウンロードされるこのようなサービス配信に対する新規のサービスセッション識別子(Service_Context_ID)を生成する。
加えて、サービス進行状態マシーン(SPSM)内に含まれる異なる状態に関係して、サービスコンテキスト状態マシーン(SCSM)の指示されている状態内の特定のサービスフィルタを装備するための手段が提供される。それゆえ、特定のSPSM状態に関係して、アプリケーションゲートウェイモジュール(2)で一旦受信され、また、指示されているSCSM状態内の特定のサービスフィルタを動的に装備するために更に使用される、いくつかのフィールド値が存在し得る。これらのメッセージフィールド値は、あるSCSMインスタンス内での解析中にマッチングされると、動作に入る「トリガー」あるいは「イベント」を引き起こすことになる。
別の実施形態の下では、SPSMインスタンスが開始されない場合には、サービスへのアクセスは、サービス進行を介する制御を必要とすることなく認可されても良い。また、サービスセッション識別子が生成される場合には、このサービスセッション識別子は、単に、アプリケーションゲートウェイモジュール(2)における相関関係用に使用される。
図5を更に参照すると、認可モジュール(3)から、次のものから選択される少なくとも1つの情報を含む応答(S−512)がアプリケーションゲートウェイモジュール(2)へ返信される。:
−本来受信することができるサービス識別子、あるいはその変更版
−アプリケーションゲートウェイモジュール(2)内、かつおそらくは、自身の存続期間中の認可モジュール(3)内のサービス配信を識別する、サービスセッション識別子(Service_Context_ID)
−いくつかのメッセージフィールド識別子と、対応する値(Analyse−Info−SF−value)、これは、適用可能なSCSMインスタンスの状態「サービスアクティブ」内のサービスフィルタ「情報−解析」(SF−2)を装備するために更に使用される。このサービスフィルタは、サービスコンテキスト存続期間中は持続している。
−いくつかのメッセージフィールド識別子と対応する値(Logout−SF−value)、これは、適用可能なSCSMインスタンスの状態「サービスアクティブ」内のサービスフィルタ「ログアウト」(SF−31)を装備するために更に使用される。このサービスフィルタは、ユーザがログアウトしている場合にAM(3)へ通知するために使用することができ、また、サービス進行存続期間中は持続している。
−新規のタイムアウト値(Timeout−value)、これは、静的に装備されている従前のタイムアウト値を上書きすることによって、既に装備されているサービスフィルタ「タイムアウト」(SF−32)を動的に装備するために使用される。このサービスフィルタは、上書きされない限り、サービスコンテキスト存続期間中は持続している。
−単なる数、あるいは、むしろ特定の指示のリストによる、いくつかの管理用のトランザクション
アプリケーションゲートウェイモジュール(2)へ戻す、認可モジュール(3)からのこの応答の提供においては、認可モジュール(3)におけるSPSMインスタンスの遷移は、状態「アクティブサービス」となる。
しかしながら、サービスが拒否されると、図示されていないが、否定応答がアプリケーションゲートウェイモジュール(2)へ返信される。ここで、SCSMインスタンスの遷移は「NULL」状態となり、更にまた、SCSMインスタンスが終了される。あるいは、単に、SCSMインスタンスが終了される。
アプリケーションゲートウェイモジュール(2)における、肯定応答(S−512)の受信においては、応答メッセージで受信されるサービスセッション識別子(Service_Context_ID)は、SCSMインスタンスに関連付けられる。サービスセッション識別子(Service_Context_ID)が受信されない場合、次に、サービスリクエストが継続することが許可され、また、関係するSCSMが削除される。つまり、サービスネットワークオペレータ(20)が絶対的に信用するこれらのユーザ(1、9)及びサービスプロバイダ(30)に対して、本発明の主要な特徴を無効にする機能を持っている。
受信されたサービスフィルタは、このSCSMインスタンス内の「イベント」サービスフィルタとして装備されるが、静的に装備されるサービスフィルタ「タイムアウト」(SF−32)については、動的に上書きすることができる。次に、SCMSインスタンスは、「アクティブサービス」状態に進行する。受信されたサービスセッション識別子(Service_Context_ID)は、ユーザ(9)によってリクエストされるサービスを提供する(S−514、S−515)ことを担当するサーバ(5)へ向けて転送されるサービスリクエスト(S−513)に組み込まれる。そして、このサーバ(5)のアドレスは、認可モジュール(3)からの応答で受信されても良い。一方、否定応答が受信された場合、それ自身のアプリケーションゲートウェイモジュール(2)は、ユーザがリクエストされたサービスへのアクセスを認可されていないことを示す否定応答をユーザ(9)へ返信する。
図6と更に図2も参照して示される第2の用途の場合、ユーザからの次のサービスリクエスト(S−610からS−613)と、同一のサービス配信処理内でのコンテンツ配信の起動が例示される。これらのサービスリクエストのいずれかと対応するコンテンツ配信は、そのサービス配信処理内の相関関係用に少なくとも意図されているアクティブなセッション識別子(Service_Context_ID)を有している。
この第2の用途の場合、図5に示される認可処理中に、アプリケーションゲートウェイモジュール(2)へ返信される応答(S−512)に、認可モジュール(3)が、サービスフィルタ値(Analyse−Info−SF−value)を事前に含めているという想定例である。このサービスフィルタ値(Analyse−Info−SF−value)は、ユーザ(9)が、同一のサービス配信内で特に特定サービス(serviceBIS)をリクエストする場合に、認可モジュール(3)へ向けて解析リクエストを再度起動するためのアプリケーションゲートウェイモジュールで、サービスフィルタを装備するように意図されている。
つまり、特別に取り扱われる上述の特定サービス(serviceBIS)とは異なる同一あるいは別のサービスへユーザがアクセスしている間(S−610からS−613)、サービス進行は、受信したサービスセッション識別子(Service_Context_ID)を識別することによって、認可の相関(correlating)を続ける。それゆえ、到来メッセージの受信においては、アプリケーションゲートウェイモジュールは、メッセージ内に含まれるサービスセッション識別子(Service_Context_ID)を介してSCSMインスタンスを取得する。この場合、このメッセージは、「アクティブサービス」状態にある。この段階で、サービスフィルタ「情報−解析」(SF−2)と「ログアウト」(SF−31)は、与えられるサービスセッション識別子(Service_Context_ID)を有する到来メッセージについて評価される。
上述の特定サービス(serviceBIS)をリクエストするユーザ(9)からのサービスリクエスト(S−614)の受信においては、アプリケーションゲートウェイモジュール(2)は、受信されたサービスセッション識別子(Service_Context_ID)によって識別されるSCSMインスタンス下で、装備済のサービスフィルタ「情報−解析」(SF−2)に遭遇する。ユーザによってリクエストされたサービス(serviceBIS)が、認可モジュール(3)からで受信されたサービスフィルタ値(Analyse−Info−SF−value)とマッチングして、そのようなフィルタを装備し、アプリケーションゲートウェイモジュールは、上述の認可モジュールへ戻される特定解析リクエスト(S−615)を発行する。この特定解析リクエストは、次から選択されるものの少なくとも1つの要素を含んでいる:例えば、HTTPのような使用されるプロトコル、例えば、POSTのようなメッセージタイプ、リクエストされたサービス(serviceBIS)、ユーザ識別子、サービスセッション識別子(Service_Context_ID)及び取り得る適用可能なサービスフィルタがある。
この特定サービス(serviceBIS)に対する解析リクエスト(S−615)を受信する認可モジュールは、受信されたサービスセッション識別子(Service_Context_ID)によって識別されるSPSMインスタンスを取得し、現在適用可能な特定の状態に基づいて、異なるポリシーがユーザとリクエストされたサービスに適用されても良い。これに関係して、また、現在の実施形態に従えば、これらのポリシーは、特定の属性を有する個別のサービスフィルタとして例示され、かつ特定のSPSMインスタンスに割当可能なグローバルサービスフィルタによって実現される。本実施形態は、認可モジュール(3)でグローバルサービスフィルタ群と、自身の適用と、アプリケーションゲートウェイモジュール(2)で定められるような外部の適用とを、調和させて提供することが可能である。別の実施形態では、これらのポリシーと、サービス配信を許可できるかどうかを判定するために適用される本来のポリシーは、完全なサービス配信を許可しているユーザが、特に特定サービス(serviceBIS)に現在アクセスすることができるかどうか、つまり、ユーザによってリクエストされる追加の認可に対してマークされているかを判定するための処理手段を備えることによって実行されても良い。
認可モジュール(3)でこれらのポリシーの少なくとも1つを適用すると、制限なくアクセスが許可されても良い。あるいは、リクエストされた従前のサービス(serviceTER)と置き換えるために別の特定サービス(serviceTER)が返信されても良い。あるいは、強制されたログアウトが起動されても良い。この状況の例には、インターネットを介して「視聴中−TV−サービス」へアクセスすることが許可されているユーザがある。ここで、このサービスは、ユーザによって選択的に選択することができ、かつ更なる認可を必要としないいくつかのチャネルを含んでいる。これは、ユーザのリクエストは、サービスセッション識別子(Service_Context_ID)を含んでいるからである。加えて、「視聴中−TV−サービス」は、最終的には、ユーザが選択的に選択することができ、かつユーザが個別に課金される(serviceBIS)、別のいくつかのチャネルを含んでいる。それゆえ、これらの後者のチャネルの1つの選択においては、ユーザは、適切な課金、ログインあるいは承認データをユーザからリクエストすることができる、別のサービス(serviceTER)へ向けられても良い。
次に、認可モジュールが、ユーザ及びサービスに適用可能なポリシーを、好ましくは、サービスフィルタによって処理し、また、上述の結果:アクセスの許可、切断、あるいは別のサービス(serviceTER)が接続されていることのいずれかに判定すると、認可モジュールは、アプリケーションゲートウェイモジュール(2)へ対応する応答を返信する(S−616)。アプリケーションゲートウェイモジュールは、新たに指示されたサービス(serviceTER)を担当するサーバへ向けてサービスリクエストを転送する(S−617)。ここで、このサーバは、以前のもの(5)と同一である。そして、サーバは、ユーザ(9)へ向けて、リクエストされたサービスに対して適合しているコンテンツを提供する(S−618、S−619)。
より一般的に説明すると、また、上述の実施形態以外の他のより洗練されたサービスに適用可能であり、認可モジュールからアプリケーションゲートウェイモジュールへの応答(S−616)は、次のものから選択される要素の少なくも1つを含んでいる。:
−本来受信することができるサービス識別子、あるいはその変更版
−いくつかの新規のメッセージフィールドと、対応する値(Analyse−Info−SF−value)の少なくとも一方、これらは、適用可能なSCSMインスタンスの状態「サービスアクティブ」内のサービスフィルタ「情報−解析」(SF−2)を装備するために更に使用される。
−いくつかの新規のメッセージフィールド識別子と対応する新規の値(Logout−SF−value)の少なくとも一方、これらは、適用可能なSCSMインスタンスの状態「サービスアクティブ」内のサービスフィルタ「ログアウト」(SF−31)を装備するために更に使用される。
−新規のタイムアウト値(Timeout−value)、これは、従前のタイムアウト値を上書きすることによって、既に装備されているサービスフィルタ「タイムアウト」(SF−32)を動的に装備するために使用される。
第3の用途は、図7と更に図2も参照して示される。この第3の用途の場合、図6の場合で示される第2の用途のように、同一のサービス配信処理内でユーザとコンテンツ配信(S−612、S−613)からの次のサービスリクエスト(S−610、S−611)の起動で開始し、ここで、サービスリクエストとコンテンツ配信は、そのサービス配信処理内の相関関係用に、与えられるアクティブサービスセッション識別子(Service_Context_ID)を含んでいる。
図7に示される、この第3の用途の場合、所望のログアウト(RequestedserviceLOGOUT)を示すサービスリクエストを送信する(S−714)ことによって、ユーザ(9)は明示的にログアウトを開始する。
アプリケーションゲートウェイモジュール(AGM)(2)でこのようなログアウトリクエスト(S−714)を受信すると、サービスフィルタ「ログアウト−リクエスト」(SF−31)は、このフィルタに対して示される値(Logout−SF−value)に適用可能で、かつ従うことが検出される。このようなイベントは、AM(3)に通信される(S−715)。ここで、このサービスフィルタ「ログアウト−リクエスト」(SF−31)は、認可処理中あるいは従前のサービスリクエスト中に認可モジュール(AM)(3)から対応する指示を受信する場合にAGM(2)での対応するSCSMインスタンス内で従前に装備されたものである。それゆえ、このようなイベントの通信には、次のものから選択される要素の少なくとも1つを含んでいる。これには、例えば、HTTPのような使用されるプロトコル、例えば、POSTのようなメッセージタイプ、例えば、リクエストされたURIのようなリクエストされたサービス、ユーザ識別子、サービスセッション識別子(Service_Context_ID)及び検出可能なサービスフィルタがある。
このようなリクエストの受信において、AM(3)内のSPSMインスタンスは、「アクティブサービス」状態から「切断サービス」状態への遷移を実行する。サービスセッション識別子(Service_Context_ID)が削除されて、SPSMインスタンスは消滅する。応答がAGM(2)に返信されると(S−716)、SCSMインスタンスで、「アクティブサービス」状態から「切断サービス」状態への遷移が発生するとともに、SCSMインスタンスで、現在のサービスセッション識別子(Service_Context_ID)へのリファレンスの削除が発生する。
このような上述の通信がリクエストされる場合、AGM(2)内のSCSMは、AMからの指示(S−716)を待機する。そうでない場合、通知の場合、応答確認を待つことなく、「アクティブサービス」状態と「切断サービス」状態間での状態遷移がSCSMインスタンスで実行される。
ユーザのログアウトは、個別のサービス配信処理の特別な特徴に依存して、サービス(5)を担当するサーバへ通知される(S−717)。ここで、このログアウトは、例えば、「グッドバイ(good-bye)」ページのような最終コンテンツを、ユーザへ配信する(S−718、S−719)。
第4の用途は、図8と更に図2も参照して示される。この第4の用途の場合、上述したものの1つのように、アクティブサービスセッション識別子(Service_Context_ID)を用いる同一のサービス配信処理内でユーザとコンテンツ配信(S−612、S−613)からの次のサービスリクエスト(S−610、S−611)の起動で開始する。
この用途の場合には、ユーザ(5)はサービス(5)に接続していて、割当られたサービスセッション識別子(Service_Context_ID)を持っている。但し、ユーザは、長期間の間、サービスにアクセスしていない。この動作してない期間の間は、休止(inactivity)タイマが動作し、満了すると、サービスフィルタ「タイムアウト」が、アプリケーションゲートウェイモジュール(AGM)(2)で適用可能なSCSMインスタンスに対して起動される。次に、AGM(2)は、このようなイベントと通信する。即ち、与えられるサービスセッション識別子(Service_Context_ID)を有するAGMには、認可モジュール(AM)(3)へのメッセージは渡っていない。この通信(S−815)には、次のものから選択される少なくとも1つの要素を含んでいる。:これには、与えられるサービスセッション識別子(Service_Context_ID)と、検出されたサービスフィルタ(タイムアウト)がある。
このような通信の受信において、認可モジュール(3)で相関関係にあるSPSMインスタンスは、状態「切断サービス」への遷移を実行し、与えられているサービスセッション識別子(Service_Context_ID)へのリファレンスを削除し、かつアプリケーションンゲートウェイモジュール(AGM)(2)へ対応する応答確認を返信する。この応答の受信においては、AGMでのSCSMインスタンスは、「アクティブサービス」状態から「切断サービス」状態へ移行し、与えられるサービスセッション識別子(Service_Context_ID)へのリファレンスも同様に削除する。
更なるサービスリクエストが、上記の削除されたサービスセッション識別子(Service_Context_ID)を有するユーザ(5)から受信されると(S−810)、タイムアウトが満了、あるいは、サービスリクエストを認可しない他の理由(未認可)を示すことが可能な否定回答を返信する(S−819)。
第5の用途の場合も、図2とともに図9で示される。この第5の用途の場合、上述したものと同様に、ユーザからの次のサービスリクエストの起動(S−610、S−611)と、アクティブなサービスセッション識別子(Service_Context_ID)を有する同一のサービス配信処理内でのコンテンツ配信(S−612、S−613)で開始する。
この例示の用途の場合は、サービスネットワークオペレータがいつでもサービス進行を終了することができるメカニズムを提供する。これにより、認可モジュール(AM)(3)内で、オペレータポリシーを設定するための手段が提供され、これは、大局的に、ユーザ単位、かつサービス単位で適用可能であり、オペレータに、認可モジュール(3)内の制御手段を介して認可サービスの進行を停止することを可能にする。先の用途の場合に対して上述したものが既に導入されているこの実施形態に従えば、これらのポリシーは、グローバルサービスフィルタによって実現されても良く、これは、特定の属性を有する個別のサービスフィルタとしてインスタンス化(instanced)されても良く、また、特定のSPSMインスタンスに割当可能であっても良い。また、上述の別の実施形態に従えば、これらのポリシーは、完全なサービス配信を許可されているユーザが、そのサービスを現在も続行することができるかを判定するための処理手段を持つことによって実行されても良い。換言すれば、認可モジュールAM(3)でこれらのポリシーの少なくとも1つを適用するので、強制されたログアウトあるいはサービス切断がアプリケーションゲートウェイモジュール(AGM)(2)へ向けて起動される。状態「アクティブサービス」と「切断サービス」間の遷移が対応するSPSMインスタンスで一旦実行されると、これらのSPSMインスタンスとサービスセッション識別子(Service_Context_ID)の両方が終了される。次に、図9は、どのようにしてAM(3)が、次のものから選択される少なくとも1つの要素を含む切断リクエストをAGM(2)へ向けて送信する(S−908)かを示している。この要素には、ユーザ識別子及びサービスセッション識別子(Service_Context_ID)がある。
AGM(2)で切断リクエストを受信すると(S−908)、SCSMインスタンスは、与えられるサービスセッション識別子(Service_Context_ID)を使用することによって識別され、状態「アクティブサービス」と「切断サービス」間の遷移がSCSMインスタンスで実行され、このSCSMインスタンスと与えられるサービスセッション識別子(Service_Context_ID)の両方及びそのリファレンスが削除され、応答が、認可モジュール(3)へ返信される(S−909)。上述の用途の場合のように、更なるサービスリクエストが、最近終了されたサービスセッション識別子(Service_Context_ID)を有するユーザ(5)から受信されると(S−910)、どうしてサービスが終了されたか(未認可)の理由を示すことが可能な否定回答を返信する(S−819)。
上述の用途とは別に、他のアプリケーションサーバ(7、8)と提供システムは、後者については図示されていないが、以下にリストされるものの1つとするアクションを、包括的でない(non-exhaustive:非包括的な)方法で実行するために、認可モジュール(3)とも相互作用しても良い。
−与えられるサービスセッション識別子によって識別される特定のサービスインスタンス、即ち、SPSMインスタンスあるいはSCSMインスタンスに関係するデータの読出、このデータは、その特定のサービスインスタンス内で適用可能なサービスフィルタに対して設定されるデータを含んでいる。
−与えられるサービスセッション識別子によって識別される特定のサービスインスタンスの切断のリクエスト、これによって、このメッセージの到来における認可モジュール(3)は、アプリケーションゲートウェイモジュール(2)へ切断リクエストを発行する。
−次のものから選択される少なくとも1つの要素で、与えられるサービスフィルタに適用可能な新規の値の供給、この要素は、与えられるサービスセッション識別子によって識別される与えられるサービスインスタンスに関係している、マッチング用のいくつかの基準及びマッチングで実行するためのいくつかのアクションと、SPSMインスタンスであるサービスインスタンスあるいはSCSMインスタンス、あるいはそれらの両方がある。
データあるいはステータス単位で、サービスインスタンスに関連するアクションを実行するために認可モジュール(3)と相互作用することを要望するこれらのアプリケーションサーバ(7、8)あるいは提供システムは、そのサービスインスタンスを識別するために、サービスセッション識別子(Service_Context_ID)を必要とする。
いくつかの基本的な用途の場合は、図2で基本的には示されているが、これについてのユーザによるサービスの使用が、サービスネットワーク(20)内でどのようにして検証できるかを良好に示す例示の方法が以下で示される。
検証メカニズムの第1の用途の場合は、例えば、サービスネットワークオペレータ(20)によって提供されるが、サードパーティサービスプロバイダ(30)によって装備されるサービスに対する「リアルタイム課金」の類がある。これに関しては、オペレータは、サービスの使用に対するユーザの課金に関与するが、このようなサービスの使用の情報は、サードパーティサービスプロバイダ(SP)からもたらされる。オペレータは、課金対象のユーザが現在そのサービスにアクセスしているかを確認する必要がある。この目的のために、オペレータとサービスプロバイダ間で署名されるサービスレベルアグリーメント(SLA)は、ユーザ(1、9)とサービスサーバ(5、6)間で交換されるこれらのアプリケーションメッセージ(I−1x、I−2x、I−4x)内に常に含まれる、割当られたサービスセッション識別子(Service_Context_ID)も、サービスプロバイダからオペレータの課金システム(8)へのメッセージ(I−6x)に含まれ、かつそのメッセージ内に課金記録を与えることを記述している。このサービスセッション識別子(Service_Context_ID)は、与えられるサービスセッション識別子(Service_Context_ID)がアクティブサービスインスタンスに属していることをチェックし、確認するために、認可モジュール(3)へクエリー(I−8x)を発行するために使用される。ユーザアカウントが検出されたことを提供することが尽きると、課金システム(8)は、認可モジュール(3)へ向けてのユーザに対する切断リクエストを起動しても良く、かつ後者は、アプリケーションゲートウェイモジュール(2)へ向けての上述の一般的な用途の場合で説明されている同様の処理を適用することが好ましい。課金システム(8)、認可モジュール(3)及びアプリケーションゲートウェイモジュール(2)は、介在するサービスインスタンス、即ち、SPSMインスタンス及びSCSMインスタンスを識別するために、与えられるサービスセッション識別子(Service_Context_ID)をすべて使用する。
第2の用途の場合の検証メカニズムは、例えば、サードパーティサービスプロバイダ(30)によってサービスネットワーク(20)に属するサービスイネブラー(enabler)(7)を使用することであっても良い。これに関しては、サービスネットワークオペレータは、サードパーティサービスプロバイダとのサービスレベルアグリーメント(SLA)を署名して、後者に、ユーザがサービスイネブラーによって提供される特徴を必要とするサービスへアクセスする場合にのみサービスイネブラーの使用を可能にするようにしても良い。それゆえ、サービスネットワークオペレータは、サービスプロバイダ(5)からサービスイネブラー(7)へのクエリー(I−5x)が、常に、介在するサービスインスタンス、即ち、SPSMインスタンスあるいはSCSMインスタンス、あるいはそれらの両方を識別するためにサービスセッション識別子(Service_Context_ID)を含むことを必要とする。上述の検証メカニズムと同様の方法で、与えられるサービスセッション識別子(Service_Context_ID)がアクティブなサービスインスタンスに属しているかをチェックし、確認するために、サービスイネブラーは、そのサービスセッション識別子(Service_Context_ID)を使用して、認可モジュール(3)へクエリー(I−7x)を発行する。
本出願人の発明は、例示であり、かつ限定されないことが意図されている様々な実施形態の組み合わせで説明されている。当業者には、これらの実施形態を変更することができることが予想される。本出願人の発明の範囲は、明細書及び図面とともに請求項によって定義され、また、これらの請求項の範囲内に収まるあらゆる変更は、これらに含まれるように意図されるものである。
サービスが回答を伴うリクエストに基づいている場合に、サービスプロバイダによって提供されるサービスにアクセスするために、認証済ユーザをサービスネットワークが認可するアーキテクチャを示す図である。 本発明に従う拡張インタフェース及びエンティティを伴う図1のアーキテクチャの簡略図である。 アプリケーションゲートウェイモジュールと認可モジュールそれぞれでのサービス進行中に割り当てられる基本状態間の遷移例を示す図である。 アプリケーションゲートウェイモジュールと認可モジュールそれぞれでのサービス進行中に割り当てられる基本状態間の遷移例を示す図である。 いくつかのサービスフィルタ、即ち、サービス進行中に割り当てられる状態に渡って起動され得るサービスポリシーと、そのサービスフィルタの適用対象となり得るいくつかの遷移を示す図である。 アプリケーションゲートウェイモジュール内の第1有効状態マシーンの第1状態と、認可モジュールの第2有効状態マシーンそれぞれの新規インスタンスが開始され、かつそれらのインスタンスの両方の相関をとるために、サービスセッション識別子が生成され、割り当てられる、サービス認可中の処理を示す図である。 認可モジュールが、特定の遷移に対するサービスポリシーを起動することをアプリケーションゲートウェイモジュールに指示することで、ユーザがそのような特定の遷移をリクエストする場合が認可モジュールに通知されることを、与えられるサービス配信内で実施する間の処理を示す図である。 与えられるサービスセッション識別子によって識別されるサービス配信から、ユーザが明示的にログアウトをリクエストすることを、与えられるサービス配信内で実施する間の別の処理を示す図である。 与えられるサービスセッション識別子によって識別されるサービス配信に対するタイムアウトの満了を、アプリケーションゲートウェイモジュールが検出し、それを認可モジュールへ通知することを、与えられるサービス配信内で実施した後の処理を示す図である。 サービスネットワークオペレータによって、認可モジュールを介する動作を、与えられるサービスセッション識別子によって識別されるサービス配信の進行中にいつでも終了することができることを、与えられるサービス配信内で実施する間の更なる処理を示す図である。

Claims (30)

  1. 電気通信システムの使用に適しているアプリケーションゲートウェイモジュール()であって、この電気通信システムでは、サービスネットワーク(20)がユーザ(1、9)を認証し、かつサービスプロバイダ(30)によって提供されるサービス(5、6)へアクセスするユーザを認可し、前記アプリケーションゲートウェイモジュール(2)は、前記ユーザと前記サービス間のアプリケーションメッセージを捕捉し(I−2、I−4、I−2x、I−4x)、かつ前記ユーザと前記サービスを識別するように構成され、
    また、前記アプリケーションゲートウェイモジュール(2)は、前記ユーザが前記サービスへアクセスすることが許可されているかについての認可決定(I−3、I−3x)を取得する手段を含み、
    前記アプリケーションゲートウェイモジュール(2)は、
    前記ユーザと前記サービス間で交換される前記アプリケーションメッセージを識別するように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子(Service_Context_ID)を割り当てる手段と、
    サービス進行を制御することができるサービス配信における特定イベントを識別するように意図されている、いくつかの状態を有する第1有効状態マシーン(SCSM)を構成する手段と、
    前記特定イベントに適用可能なサービスポリシー(SF)を起動し、かつ状態遷移を発生する手段と
    を備えることを特徴とするアプリケーションゲートウェイモジュール。
  2. 前記サービスセッション識別子(Service_Context_ID)を割り当てる手段は、前記第1有効状態マシーン(SCSM)の特定インスタンスを開始する手段を含み、
    前記特定インスタンスは、前記割り当てられたサービスセッション識別子(Service_Context_ID)によって識別される
    ことを特徴とする請求項1に記載のアプリケーションゲートウェイモジュール。
  3. 前記サービスポリシー(SF)を起動する手段は、リファレンス及び属性の包括的でないリストから選択される少なくとも1つの要素を設定する手段を含み、この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングを実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかのトランザクションを含んでいる
    ことを特徴とする請求項2に記載のアプリケーションゲートウェイモジュール。
  4. 前記サービスポリシー(SF)を起動する手段は、進行中に、任意のサービス配信とは独立しているグローバルサービスポリシーを起動する手段を含んでいる
    ことを特徴とする請求項2に記載のアプリケーションゲートウェイモジュール。
  5. 前記サービスポリシー(SF)を起動する手段は、前記第1有効状態マシーン(SCSM)の特定インスタンス内の個別のサービスポリシーとして適用するためのグローバルサービスポリシーのインスタンスを開始する手段を含み、
    前記個別のサービスポリシーは、前記グローバルサービスポリシーからのリファレンスと属性を引き継いでいる
    ことを特徴とする請求項2に記載のアプリケーションゲートウェイモジュール。
  6. 前記第1有効状態マシーン(SCSM)の特定インスタンス内で処理されるサービス進行中に、個別のサービスポリシーのリファレンス及び属性を、新規のリファレンス及び属性で上書きする手段を更に備える
    ことを特徴とする請求項5に記載のアプリケーションゲートウェイモジュール。
  7. 特定の状態が、与えられるサービスセッション識別子(Service_Context_ID)によって識別される、前記第1有効状態マシーン(SCSM)の特定インスタンス内のいくつかの個別のサービスポリシー(SF−31、SF−32)に関連付けられている
    ことを特徴とする請求項5に記載のアプリケーションゲートウェイモジュール。
  8. 前記認可決定を取得する手段は、
    前記ユーザ(1、9)がサービス(5、6)にアクセスすることが許可されているかを決定するように構成されている認可モジュール(3)からサービス認可をリクエストする手段と、
    前記ユーザ(1、9)がサービス(5、6)へアクセスすることが許可されているかどうかの応答を、前記認可モジュール(3)から受信する手段と
    を含んでいる
    ことを特徴とする請求項2に記載のアプリケーションゲートウェイモジュール。
  9. 前記サービスポリシー(SF)を起動する手段は、サービスポリシーを設定するために適用可能な少なくとも1つの要素を前記認可モジュール(3)から受信する手段を含み、
    前記要素は、リファレンスと属性の包括的でないリストから選択されるものであり、この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングを実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかの遷移を含んでいる
    ことを特徴とする請求項8に記載のアプリケーションゲートウェイモジュール。
  10. 前記サービスポリシー(SF)を起動する手段は、前記認可モジュール(3)からグローバルサービスポリシーを受信する手段を含んでいる
    ことを特徴とする請求項8に記載のアプリケーションゲートウェイモジュール。
  11. 前記第1有効状態マシーン(SCSM)の特定インスタンス内で処理されるサービス進行中に、個別のサービスポリシーを新規のリファレンスと属性で上書きするように適用可能なリファレンスと属性を、前記認可モジュール(3)から受信する手段を更に備える
    ことを特徴とする請求項8に記載のアプリケーションゲートウェイモジュール。
  12. サービス進行中の特定イベントを、前記認可モジュール(3)へ通知する手段を更に備える
    ことを特徴とする請求項8に記載のアプリケーションゲートウェイモジュール。
  13. 前記サービス進行を継続するための適切なアクションを判定するための追加処理を、前記認可モジュール(3)からリクエストする手段を更に備える
    ことを特徴とする請求項8に記載のアプリケーションゲートウェイモジュール。
  14. 前記認可モジュール(3)から指示を受信する手段を更に備え、前記指示は、制限なく許可されたアクセス、リクエストされた従前のサービス(serviceBIS)を置換するための別のサービス(serviceTER)、強制ログアウト及び状態遷移の指示から選択される
    ことを特徴とする請求項13に記載のアプリケーションゲートウェイモジュール。
  15. 電気通信システムの使用に適している認可モジュール(3)であって、この電気通信システムでは、サービスネットワーク(20)がユーザ(1、9)を認証し、かつサービスプロバイダ(30)によって提供されるサービス(5、6)へアクセスするユーザを認可し、前記認可モジュール(3)は、前記ユーザ(1、9)がサービス(5、6)にアクセスすることが許可されているかを決定するように構成され、
    請求項1に記載されるアプリケーションゲートウェイモジュール(2)から、サービス認可リクエストを受信する(S−511)手段と、
    前記ユーザ(1、9)が前記リクエストされたサービス(5、6)へアクセスすることが許可されているかに応じて、前記アプリケーションゲートウェイモジュール(2)へ応答を返信する手段とを有し、
    前記認可モジュール(3)は、
    前記ユーザと前記サービス間で交換されるアプリケーションメッセージを相関させるように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子(Service_Context_ID)を生成する手段と、
    前記認可モジュールが、サービス進行を制御することを前記アプリケーションゲートウェイモジュール(2)を代行することができるサービス進行内の特定イベントを識別するように意図されているいくつかの状態を有する第2有効状態マシーン(SPSM)を構成する手段と、
    前記特定イベントに適用可能なサービスポリシー(SF)を判定し、かつ状態遷移を発生する手段と
    を備えることを特徴とする認可モジュール。
  16. 前記サービスセッション識別子(Service_Context_ID)を生成する手段は、前記ユーザ(1、9)が前記リクエストされたサービス(5,6)へのアクセスが許可されているかに応じて、前記アプリケーションゲートウェイモジュール(2)への返信対象の前記応答(S−512)に、前記サービスセッション識別子(Service_Context_ID)を含める手段を備える
    ことを特徴とする請求項15に記載の認可モジュール。
  17. 前記サービスセッション識別子(Service_Context_ID)を生成する手段は、前記サービスセッション識別子(Service_Context_ID)によって識別される、前記第2有効状態マシーン(SPSM)の特定インスタンスを開始する手段を含んでいる
    ことを特徴とする請求項16に記載の認可モジュール。
  18. 特定の状態が、与えられるサービスセッション識別子(Service_Context_ID)によって識別される、前記第2有効状態マシーン(SPSM)の特定インスタンス内のいくつかの個別のサービスポリシーに関連付けられている
    ことを特徴とする請求項17に記載の認可モジュール。
  19. 前記サービスポリシー(SF)を判定する手段は、前記アプリケーションゲートウェイモジュール(2)内の特定状態でサービスポリシー(SF−2)を起動するための少なくとも1つの情報要素を、前記アプリケーションゲートウェイモジュール(2)に向けての前記応答(S−512)へ含める手段を備え、
    前記少なくとも1つの情報要素は、リファレンスと属性の包括的でないリストから選択されるものであり、この要素は、
    −マッチングするためのいくつかのメッセージフィールド値(Analyse−Info−SF値、Logout−SF値)と、
    −与えられるメッセージフィールド値とのマッチングを実行するためのアクションのセットと、
    実行用のいくつかの新規のタイマ値(Timeout値)及び
    管理用のいくつかのトランザクションと
    を有している
    ことを特徴とする請求項15に記載の認可モジュール。
  20. 前記サービスポリシーを起動するための少なくとも1つの情報要素を、前記アプリケーションゲートウェイモジュール(2)に向けての前記応答(S−512)へ含める手段は、その応答が、進行中の任意のサービス配信とは独立して適用するためのグローバルサービスポリシーであることを指示する手段を含んでいる
    ことを特徴とする請求項19に記載の認可モジュール。
  21. 請求項1に記載のアプリケーションゲートウェイモジュール(2)から、サービス進行で検出される特定イベントを指示する通知を受信する手段を更に備える
    ことを特徴とする請求項16に記載の認可モジュール。
  22. 請求項1に記載のアプリケーションゲートウェイモジュール(2)から、サービス進行を継続するための指示を問い合わせるリクエストを受信する手段を更に備える
    ことを特徴とする請求項16に記載の認可モジュール。
  23. 前記アプリケーションゲートウェイモジュール(2)へ向けて、指示を送信する手段を更に備え、前記指示は、制限なく許可されたアクセス、リクエストされた従前のサービス(serviceBIS)を置換するための別のサービス(serviceTER)、強制ログアウト及び状態遷移の指示から選択される
    ことを特徴とする請求項22に記載の認可モジュール。
  24. いくつかのアプリケーションサーバ(7、8)及び提供システムから選択される少なくとも1つのエンティティから、アプリケーションメッセージ(I−7X、I−8X)を受信する手段を更に備え、
    前記アプリケーションメッセージは、前記認可モジュール(3)内の前記第2有効状態マシーン(SPSM)の特定インスタンスを識別するように意図されている、与えられるサービスセッション識別子(Service_Context_ID)を含んでいる
    ことを特徴とする請求項16に記載の認可モジュール。
  25. サービスネットワーク(20)のユーザ(1、9)に、サービスプロバイダ(30)のサービスサーバ(5、6)によって提供されるサービスにアクセスすることを認可する方法であって、前記ユーザ(1、9)は、前記サービスネットワークによって既に認証されていて、前記サーバ(5、6)は、前記ユーザ(1、9)との複数のアプリケーションメッセージの交換による複数のトランザクションを有するサービスを配信するように構成されている、方法であって、
    アプリケーションゲートウェイモジュール(2)が、前記ユーザが前記サービスにアクセスすることが許可されているかについての第1認可決定(I−3、I−3X)を認可モジュール(3)から取得するステップと、
    前記認可モジュール(3)が、前記ユーザと前記サービス間で交換される前記アプリケーションメッセージを識別するように意図されていて、かつ前記ユーザに対して認可されている同一のサービス配信に属するサービスセッション識別子(Service_Context_ID)を生成し、前記アプリケーションゲートウェイモジュール(2)によって割り当てるステップと、
    前記アプリケーションゲートウェイモジュール(2)と前記認可モジュールの少なくとも一方が、サービス進行を制御することができるサービス配信における特定イベントを識別するように意図されている、いくつかの状態を有する少なくとも1つの有効状態マシーン(SCSM、SPSM)を構成するステップと、
    前記特定イベントに適用可能なサービスポリシー(SF)を前記認可モジュール(3)で判定し、前記アプリケーションゲートウェイモジュール(2)によって起動し、かつ状態遷移を発生するステップと
    を備えることを特徴とする方法。
  26. 前記サービスセッション識別子(Service_Context_ID)を生成し、割り当てるステップは、前記割り当てられたサービスセッション識別子(Service_Context_ID)によって識別される、前記少なくとも1つの有効状態マシーン(SPSM、SCSM)の特定インスタンスを開始するステップを含んでいる
    ことを特徴とする請求項25に記載の方法。
  27. 前記少なくとも1つの有効状態マシーン(SCSM、SPSM)の前記特定インスタンス内の特定状態は、いくつかのサービスポリシー(SF−1、SF−2、SF−31、SF−32)に関連付けられている
    ことを特徴とする請求項26に記載の方法。
  28. 前記サービスポリシー(SF)を前記認可モジュール(3)で判定し、前記アプリケーションゲートウェイモジュール(2)によって起動し、状態遷移を発生するステップは、リファレンス及び属性の包括的でないリストから選択される少なくとも1つの要素を設定するステップを含み、この要素は、マッチングするためのいくつかのメッセージフィールド値、マッチングで実行するためのいくつかの特定アクション、実行用のいくつかのタイマ値及び管理用のいくつかのトランザクションを含んでいる
    ことを特徴とする請求項25に記載の方法。
  29. サービスプロバイダ(30)のいくつかのサービスサーバ(5、6)と提供システムのいくつかのエンティティから選択されるエンティティで生成されるアプリケーションメッセージを、前記サービスネットワーク(20)で受信するステップを更に備え、
    前記アプリケーションメッセージは、前記少なくとも1つの有効状態マシーン(SCSM、SPSM)の特定インスタンスを識別するように意図されている、与えられるサービスセッション識別子(Service_Context_ID)を含んでいる
    ことを特徴とする請求項25に記載の方法。
  30. 前記少なくとも1つの有効状態マシーンを構成するステップは、
    請求項1に記載されるアプリケーションゲートウェイモジュール(2)内の第1有効状態マシーン(SCSM)を構成するステップと、
    請求項15に記載の認可モジュール(3)の第2有効状態マシーン(SPSM)を構成するステップとを備える
    ことを特徴とする請求項25に記載の方法。
JP2005509894A 2003-10-24 2003-10-24 異なるドメイン間でのサービス進行を制御する装置及び方法 Expired - Fee Related JP4491652B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2003/001654 WO2005041530A1 (en) 2003-10-24 2003-10-24 Means and method for controlling service progression between different domains

Publications (2)

Publication Number Publication Date
JP2007529038A JP2007529038A (ja) 2007-10-18
JP4491652B2 true JP4491652B2 (ja) 2010-06-30

Family

ID=34511396

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005509894A Expired - Fee Related JP4491652B2 (ja) 2003-10-24 2003-10-24 異なるドメイン間でのサービス進行を制御する装置及び方法

Country Status (9)

Country Link
US (1) US8064891B2 (ja)
EP (1) EP1676410B1 (ja)
JP (1) JP4491652B2 (ja)
CN (1) CN100592735C (ja)
AT (1) ATE366023T1 (ja)
AU (1) AU2003278659A1 (ja)
DE (1) DE60314673T2 (ja)
ES (1) ES2287534T3 (ja)
WO (1) WO2005041530A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11089166B1 (en) 2008-01-11 2021-08-10 Seven Networks, Llc System and method for providing a network service in a distributed fashion to a mobile device

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1891821A2 (en) * 2005-06-15 2008-02-27 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Method and apparatus for providing a telecommunications service
US8141138B2 (en) * 2005-10-17 2012-03-20 Oracle International Corporation Auditing correlated events using a secure web single sign-on login
US8559350B2 (en) * 2005-12-20 2013-10-15 Microsoft Corporation Mechanism to convey discovery information in a wireless network
US7613426B2 (en) * 2005-12-20 2009-11-03 Microsoft Corporation Proximity service discovery in wireless networks
US8478300B2 (en) * 2005-12-20 2013-07-02 Microsoft Corporation Proximity service discovery in wireless networks
US8955094B2 (en) * 2006-01-17 2015-02-10 International Business Machines Corporation User session management for web applications
US10681151B2 (en) 2006-05-15 2020-06-09 Microsoft Technology Licensing, Llc Notification framework for wireless networks
GB2443889A (en) 2006-11-20 2008-05-21 Skype Ltd Method and system for anonymous communication
GB0623621D0 (en) 2006-11-27 2007-01-03 Skype Ltd Communication system
GB0623622D0 (en) * 2006-11-27 2007-01-03 Skype Ltd Communication system
CN101548500A (zh) * 2006-12-06 2009-09-30 艾利森电话股份有限公司 抖动缓冲器控制
US8850030B2 (en) * 2007-01-26 2014-09-30 Optis Wireless Technology, Llc Method and apparatus for providing network resources to content providers
WO2008097869A1 (en) * 2007-02-02 2008-08-14 Iconix, Inc. Authenticating and confidence marking e-mail messages
CN101056185A (zh) * 2007-03-26 2007-10-17 华为技术有限公司 订购业务处理方法和系统、及网关设备
JP5052367B2 (ja) 2008-02-20 2012-10-17 株式会社リコー 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体
US9105031B2 (en) 2008-02-22 2015-08-11 Microsoft Technology Licensing, Llc Authentication mechanisms for wireless networks
WO2010060480A1 (en) * 2008-11-26 2010-06-03 Telecom Italia S.P.A. Application data flow management in an ip network
US8363599B2 (en) * 2009-10-07 2013-01-29 Telefonaktiebolaget L M Ericsson (Publ) Method and internet protocol short message gateway (IP-SM-GW) for providing an interworking service between converged IP messaging (CPM) and short message service (SMS)
US9497088B2 (en) * 2013-08-29 2016-11-15 Oracle International Corporation Method and system for end-to-end classification of level 7 application flows in networking endpoints and devices
US20150134818A1 (en) * 2013-11-13 2015-05-14 CubeITz Ltd Data sharing method and data sharing gateway configuration
CN104158722B (zh) * 2014-07-21 2016-11-09 小米科技有限责任公司 用于轻应用的消息推送方法、装置、终端及服务器
US11290425B2 (en) * 2016-02-01 2022-03-29 Airwatch Llc Configuring network security based on device management characteristics
US10841208B2 (en) 2016-08-05 2020-11-17 Huawei Technologies Co., Ltd. Slice/service-based routing in virtual networks
US10855793B2 (en) 2017-09-25 2020-12-01 Splunk Inc. Proxying hypertext transfer protocol (HTTP) requests for microservices

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6563915B1 (en) * 1998-01-09 2003-05-13 At&T Corp. Method and apparatus for an automatic barge-in system
CA2361726A1 (en) * 1999-02-04 2000-08-10 Apion Telecoms Limited A telecommunications gateway
US6441778B1 (en) * 1999-06-18 2002-08-27 Jennifer Durst Pet locator
US6925297B2 (en) * 2000-09-19 2005-08-02 Nortel Networks, Limited Use of AAA protocols for authentication of physical devices in IP networks
WO2002091756A1 (en) * 2001-05-07 2002-11-14 Telefonaktiebolaget, L. M. Ericsson (Publ) Service triggering framework
US20020176378A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Platform and method for providing wireless data services
GB2376845B (en) 2001-06-19 2006-02-08 Ericsson Telefon Ab L M Association of charging between communication systems
EP1563389A4 (en) * 2001-08-01 2008-06-25 Actona Technologies Ltd VIRTUAL DATA DISTRIBUTION NETWORK
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
EP1317159A1 (en) 2001-11-30 2003-06-04 Motorola, Inc. Authentication, authorisation and accounting for a roaming user terminal
AUPS339102A0 (en) * 2002-07-04 2002-08-01 Three Happy Guys Pty Ltd Method of monitoring volumes of data between multiple terminals and an external communication network
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
CN1202638C (zh) * 2003-01-16 2005-05-18 上海交通大学 链路状态信息穿越网络传达的方法
US7448080B2 (en) * 2003-06-30 2008-11-04 Nokia, Inc. Method for implementing secure corporate communication
US7324473B2 (en) * 2003-10-07 2008-01-29 Accenture Global Services Gmbh Connector gateway

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11089166B1 (en) 2008-01-11 2021-08-10 Seven Networks, Llc System and method for providing a network service in a distributed fashion to a mobile device

Also Published As

Publication number Publication date
JP2007529038A (ja) 2007-10-18
WO2005041530A1 (en) 2005-05-06
EP1676410A1 (en) 2006-07-05
US8064891B2 (en) 2011-11-22
EP1676410B1 (en) 2007-06-27
CN1860760A (zh) 2006-11-08
ATE366023T1 (de) 2007-07-15
DE60314673T2 (de) 2008-04-17
DE60314673D1 (de) 2007-08-09
AU2003278659A1 (en) 2005-05-11
US20070117548A1 (en) 2007-05-24
ES2287534T3 (es) 2007-12-16
CN100592735C (zh) 2010-02-24

Similar Documents

Publication Publication Date Title
JP4491652B2 (ja) 異なるドメイン間でのサービス進行を制御する装置及び方法
US8738741B2 (en) Brokering network resources
Hakala et al. Diameter credit-control application
US6205479B1 (en) Two-tier authentication system where clients first authenticate with independent service providers and then automatically exchange messages with a client controller to gain network access
KR101102674B1 (ko) 원격통신 장치, 컴퓨터 판독가능 저장 매체, 원격통신 네트워크 운영 방법
JP4629679B2 (ja) 無料のインターネットプロトコル通信サービスのための方法及びシステム
US20040177247A1 (en) Policy enforcement in dynamic networks
JP4482030B2 (ja) パケットデータフローの課金に基づく再認証の処理方法
US9350877B2 (en) Method and apparatus for providing internet service carrying out fee payment in wireless communication network
JP2004538685A (ja) 無線データ・サービスを提供するためのプラットフォーム及び方法
JP5022493B2 (ja) サブスクリプション及び料金通知の制御
EP1966930A1 (en) Method and system for managing multicast delivery content in communication networks
WO2013041882A2 (en) User authentication in a network access system
KR20160059369A (ko) 이동 통신 시스템의 단말에서 서비스 제공 방법 및 장치
WO2006116908A1 (fr) Procede et appareil d’interface pour l’authentification et la facturation
CN105191226B (zh) 用于基于服务意识调节专用信道的服务质量的方法和布置
JP4817602B2 (ja) ペイ・パー・ユース公衆データ・アクセス・システムでの接続性の区別
KR100621203B1 (ko) 선불 및 한도 가입자를 위한 무선 데이터 서비스 제어방법 및 시스템
CN101447878B (zh) 一种预付费业务的计费方法与系统
JP4339894B2 (ja) 移動体コネクションブローカ
Bertz et al. Diameter Credit-Control Application
Hakala et al. RFC 4006: Diameter Credit-Control Application
JP3878845B2 (ja) 利用料金課金方法および課金装置
KR20040050578A (ko) 데이터 전용망에서의 인증 방법 및 시스템
Stura et al. Network Working Group H. Hakala Request for Comments: 4006 L. Mattila Category: Standards Track Ericsson JP. Koskinen

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091211

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100312

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100318

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130416

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140416

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees